Foxit Readerに修正予定のない2件の脆弱性 17
PDFの問題化と思ったらJSの問題だった 部門より
Windows用PDFリーダー「Foxit Reader(日本語版)」の未修正脆弱性2件をZero Day Initiativeが公表した(ZDI-17-691/CVE-2017-10951、ZDI-17-692/CVE-2017-10952、Register、AusCERT — ESB-2017.2088)。
CVE-2017-10951の問題はapp.launchURLメソッドに存在し、システムコールを実行する前にユーザーが与えるデータを適切に確認しないというもの。CVE-2017-10952の問題はJavaScriptで書かれたsaveAs関数に存在し、ユーザーが与えるデータに対する適切な確認が行われないため、攻撃者の制御下にある場所に任意のファイルを保存できるというものだ。2件とも攻撃用のWebページまたはドキュメントをターゲットに開かせることで、リモートの攻撃者は現在のプロセスのコンテキストで任意コード実行が可能になる。
Zero Day InitiativeではCVE-2017-10951を5月18日、CVE-2017-10952を6月22日にFoxitへ通知している。しかし、何度かのやり取りののち、Foxit側がFoxit Readerのデフォルトで有効になっている「保護モード」により緩和できるため修正は行わないとの考えを示したという。そのため、Zero Day Initiativeは通常の公表期限である120日を待たず、ゼロデイ脆弱性として公表に踏み切ったようだ。
なお、Foxit Readerの保護モードはセットアップ時にオプションとして提示され、デフォルトでオンになっている。セットアップ後は「ファイル」メニューから「環境設定」を開き、「トラストマネージャー」で設定を変更できる。
いらない子ですね。 (スコア:2)
Firefoxなど、ブラウザで普通に見られますし、
それ以上の操作が必要なら Acrobat 使うので、もういらない子ですね....
そもそも、Acrobat Reader 以外使ったことがない。
Re: (スコア:0)
同意
セキュリティ考えるならアップデートの早さは重要なので
Google Chrome Beta 64bit [google.com]という選択肢もあり
Re: (スコア:0)
ChromeのPDFエンジン(PDFium)はFoxitの派生だぞ。
Operaがpdf.jsの採用を検討しだしたとたんにGoogleがFoxitから買い取ってOSS化したのには思わず笑った
Re: (スコア:0)
会社の個人マシンがポンコツだったころ使ってたなぁ
軽いのはいいんだけど起動するとグラフィックドライバかなんかと喧嘩するのか一瞬画面が点滅したりしてた
Win10の今は特に何もせず初期関連付けされてたMicrosoft Edgeで特に不満もなく
// まあPDFなんて月1回開くかどうかレベルなんだけど
Re: (スコア:0)
PDFを見るだけならね
無料ソフトだけで編集するには貴重な存在
CubePDF 出力時に先頭・末尾に結合
PDF24 抽出・回転・並替等のページ操作
Foxit 注釈・しおりを追加
軽量PDFビューアの草分け的存在だけど (スコア:0)
SumatraPDFでいいだろもう
かなり大きいPDFでも一瞬で表示されるし、軽さを求めるならデフォルトをSumatraPDFにしといて
じっくり読みたいものや、フォントがおかしくなるようなのだけ右クリックからPDF-XChange Editorで開けばよし
Foxitは消えていい
#3.0J時代から長らくAcrobat Proの正規ユーザだったけど、PDFの作成や編集ひとつ取ってもXChangeの方が気が利いてるんで、本家Acrobatは11で切り捨てしたなぁ
#自炊全盛時代に隠しテキスト埋め込む必要が無かったらもっと速く切り捨てしていたように思う
#Acrobatは表示が遅すぎ。NAS経由で読んだりすると痛感する
漢は黙って (スコア:0)
SumatraPDF
Re: (スコア:0)
これ数年間使ってます。シンプルかつ高速起動。未だにAdobe薦める人にこれを勧めてます。
ウェブブラウザで見てる (スコア:0)
以前はadobe readerを入れてたな
久々に起動してみた (スコア:0)
Foxit入れてるが普段はfirefoxでのインライン表示で済ませていて、よほど大きいものは保存した上でAcrobat使用。
今回の記事受けて久々にFoxit起動してみたら更新が出てた。
8.3.0.14878から8.3.1.21155への更新で、サイズが52.20MBある。
肥大化したねぇ。
SumatraPDFというのをここで教えてもらったので乗り換えようっと。
Re: (スコア:0)
> インライン表示
そんなこと出来るの?
ここみてsumatraPDFに乗り換えました (スコア:0)
Foxit使っていましたが、このトピみてSumatraPDFに乗り換えました。
ありがとう >紹介してくれた人
ついでですが、書き出し(仮想プリンタドライバタイプ)にはみなさん何使ってますか?
いまは(惰性で)PrimoPDF使っていますが他にいいものがあれば教えてください
Re: (スコア:0)
windows10なら標準で仮想プリンタ入ってますね
wordも2016なら標準でPDF出力機能(しおり対応)付いてます
Re: (スコア:0)
Adobe以外なら、むしろそいつで出力してくださいお願いします、と言う感じw
バイナリーモードで開いて調査するのはもうイヤじゃw
Re: (スコア:0)
毎回出力先フォルダを指定し直さなきゃいけないのがめんどくさい。
Re: (スコア:0)
Bullzip PDF Printer
Primoの広告(※)に辟易して乗り換えて以来ずっと使ってる。
※最近はマシとも聞くが戻る気はない
あとWordやExcelからの出力やWindows10のPDFプリンタはファイルサイズが大きくなりすぎで使う気にならない。
今、適当なWord文書(12ページ画像あり)で試してみたら以下の結果になりました。
Bullzip→270KB
Word→577KB
Win10→931KB
Re: (スコア:0)
惰性でCubePDF使ってます。CAD出力用途で、ですが。